Tämä dokumentti kuvaa IKI ry:n omaa verkkotunnustoimintaa, mutta olemme kirjoittaneet sen yleiseen muotoon että samaa dokumenttia voi käyttää joku muukin yhteisö tai yksityishenkilö joka tarjoaa verkkotunnusvälitys-palveluita vain omaan sisäiseen käyttöönsä eikä ulkopuolisille. Näin IKI ry pyrkii edistämään internetin käyttöä viestinnässä.
Tähän ohjeeseen voi viitata esimerkiksi ”Verkkotunnusvälittäjä noudattaa IKI-GPV-1.0 (tai uudempi versio) ohjeistoa”. Ohjeistosta voidaan julkaista tarpeen vaatiessa parannettuja versioita.
Tämä ohjeisto on julkaistu CC-BY Creative Commons Attribution 4.0 International lisenssillä. Sitä saa käyttää ja jakaa vapaasti sekä muokata myös kaupalliseen käyttöön, kunhan lähde iki.fi mainitaan. Jos keksit parannuksia, toivomme että kerrot niistä meillekin iki-hallitus@iki.fi.
Versio 1.0.1 on hyväksytty IKI ry:n hallituksessa 2016-08-15-181326.
Termi | Merkitys | Yksityishenkilön tapauksessa | Yhteisön tapauksessa |
---|---|---|---|
Hallitus | Päätösvaltainen verkkotunnus- ja muissa asioissa | Henkilö itse | Yhteisön hallitus |
Ylläpitäjä | Hoitaa verkkotunnuksien ja tietojärjestelmien teknistä ylläpitoa | Henkilö itse | Hallituksen nimeämät henkilöt |
Vastuuhenkilö | Hoitaa pääasiassa verkkotunnusvälitystoimintaa | Henkilö itse | Hallituksen nimeämä henkilö |
Varahenkilö | Hoitaa asioita vastuuhenkilön ollessa estynyt | Nimetty luotettu toinen henkilö | Hallituksen nimeämä henkilö |
Verkkotunnusvälittäjä tarjoaa verkkotunnuksen välitystä ja hallinnointia vain itse omistamilleen ja hallinnoimilleen fi-domain nimille eikä muille.
Verkkotunnusvälittäjä noudattaa tietoyhteiskuntakaaren (917/2014) sekä viestintäviraston ja muiden viranomaisten määräyksiä ja virallisia ohjeita.
Verkkotunnusvälittäjä hoitaa automaattisesti verkkotunnuksen voimassaolon uusimisen hyvissä ajoin ennen verkkotunnuksen vanhenemista. Verkkotunnus uusitaan oletuksena maksimiajaksi. Tavoitteena on verkkotunnuksen pitkäaikainen ja luotettava toiminta.
Verkkotunnusvälittäjän käytännön toimenpiteistä vastaavat samat ylläpitäjät kuin muidenkin tietojärjestelmän ylläpidosta tai erikseen nimetty verkkotunnusvastuuhenkilö. Näillä henkilöillä on oikeus hallita fi-domainin tietoja.
Verkkotunnusvälittäjä merkitsee domainin tiedot Viestintäviraston verkkotunnusrekisteriin toimivilla yhteystiedoilla ja pitää yhteystiedot ajan tasalla. Verkkotunnusvälittäjä käyttää tähän selainkäyttöliittymää, jonka käyttöoikeudet ovat enintään samoilla henkilöillä kuin tietojärjestelmien pääkäyttäjäoikeudet.
Verkkotunnusvälittäjän yhteys ja muut tiedot pidetään ajan tasalla Viestintäviraston järjestelmissä. Tietoihin merkitään selvästi ”Vain omien fi-domainien ylläpito” tai vastaava ilmoitus, jotta rekisteristä ilmenee selvästi verkkotunnusvälittäjän toimintamalli.
Verkkotunnusvälittäjä noudattaa samoja korkean tietoturvan käytäntöjä ja hyviä tietoturvatapoja joita noudatetaan muissakin saman toimijan tietojärjestelmissä.
Palvelutasona (SLA) noudatetaan yhteisön normaaleja toimintamalleja pyrkien välttämään turhia viiveitä.
Yhteydenotot, ilmoitukset ja valitukset verkkotunnusvälittäjäasioissa otetaan vastaan samoja kanavia pitkin kuin muutkin asiat. Fi-domainien sekä verkkotunnusvälittäjän yhteystietoihin tallennetaan toimiva sähköpostiosoite ja puhelinnumero jolloin ainakin whois-palvelusta voi löytää toimivat yhteystiedot.
Yhteisiä käytäntöjä jotka koskevat useita allaolevia dokumentteja.
Viestintävirastossa olevan Verkkotunnusvälittäjätilin tunnuksia ei säilytetä itse tietojärjestelmissä vaan ylläpitäjien henkilökohtaisissa salatuissa salasanasovelluksissa. Viestintäviraston Verkkotunnusvälittäjätilille asetetaan satunnaisesti luotu vähintään 20 merkkiä pitkä salasana.
Verkkotunnusvälittäjä käsittelee vain omia tietojaan eikä ulkopuolisten tietoja. Omat tiedot suojataan samoilla käytännöillä kuin tärkeät tiedot muutenkin (esimerkiksi tiedot tallennetaan pääsykontrollin takana olevaan wiki-järjestelmään).
Verkkotunnusvälittäjä toimii domainin omistajan ja haltijan suorassa ohjauksessa ja verkkotunnusvälittäjän toimenpiteitä suorittavat vain erikseen nimetyt henkilöt.
Hallitus nimeää verkkotunnusvälitykseen vähintään yhden vastuu- ja yhden varahenkilön jotka hoitavat verkkotunnusvälittäjän juoksevia asioita. Oletuksena vastuuhenkilönä toimii hallituksen puheenjohtaja ja varahenkilönä tietojärjestelmien pääylläpitäjä. Vastuuhenkilön ollessa esteellinen varahenkilö hoitaa verkkotunnusvälittäjän toimintaa.
Verkkotunnusvälittäjätoiminnan riskit pyritään minimoimaan pitämällä verkkotunnusvälittäjän tunnukset ylläpitäjän omissa laitteissa salattuina eikä tietojärjestelmissä.
Verkkotunnusvälittäjä toimii olemassaolevian omien käytäntöjen, sääntöjen ja hyvien tapojen mukaisesti.
Laitteilla joilla verkkotunnusvälitykseen liittyviä tietoja käsitellään on käytössä koko levyn salaus tai asiaan liittyvät tiedot on erikseen salattu vahvaa salausta käyttävällä ohjelmalla.
Tietojärjestelmät suojataan ja päivitetään hyvän käytännön mukaisesti ja tietoturvatiedotteita seurataan aktiivisesti ja niihin reagoidaan tarpeen mukaan viiveettä. Vain käytössä olevat palvelut on laitettu päälle.
Tietoliikenteessä salataan kaikki yhteydet mahdollisuuksien mukaan (esim. SSH, SSL) ja oletukseksi laitetaan salatut yhteydet (esim. STARTTLS SMTP sähköpostille) aina kun se on mahdollista. Hallinta-etäyhteydet salataan aina.
Koska ulkopuolisia tietoaineistoja tai rekistereitä ei ole käytössä, tiedot suojataan omien normaalien hyvien käytäntöjen mukaisesti.
Toiminnassa käsitellään vain omia henkilötietoja ja tietojen käsittelyssä noudatetaan hyvää hallintotapaa ja teknisestä tietoturvasta huolehditaan yleisin parhain käytännöin.
Tietojärjestelmät sijaitsevat lukituissa tiloissa ja palvelimiin on fyysinen pääsy vain hallituksen auktorisoimilla henkilöillä.
Tietojärjestelmien ja fi-domain -asioiden riskejä analysoidaan säännöllisesti ylläpidon toimesta vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi hallitukselle.
Verkkotunnusvälittäjä käsittelee vain omia tietoja eikä ulkopuolisten tietoja. Tiedot pidetään tallessa organisaation omien käytäntöjen mukaisesti.
Tietojärjestelmien tietoturvauhkia arvioidaan ajoittain, vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi yhteisön hallitukselle.
Mahdollisessa häiriötilanteessa toimitaan kuten muitenkin IT-uhkien tapauksessa on suunniteltu esim. noudatetaan samoja varasuunnitelmia ja varmuuskopiointikäytäntöjä.
Käytössä olevista laitteista ja niiden konfiguraatioista ylläpidetään dokumenttia (esimerkiksi hallituksen salasanasuojatussa wiki:ssä).
Dokumentin loppu.